Top Network Security Issues, Threats, and Concerns

En ce début d'année 2021, il est bon de réfléchir aux menaces que le groupe Recherche aux Check Point a constatées en 2020 pour préparer l'année à venir. Selon le rapport Cybersécurité 2021, les attaques Sunburst, qui ont touché des milliers d'organisations gouvernementales et privées, n'étaient que la partie émergée de l'iceberg en ce qui concerne les cyberattaques de 2020. En fait, 87 % des organisations ont subi une tentative d'exploitation d'une vulnérabilité connue.

Outre l'attaque de type État-nation de Sunburst, des acteurs de la menace motivés par des considérations financières continuent de mener des campagnes de logiciels malveillants. Ils font évoluer leurs techniques pour utiliser le hameçonnage vocal (vishing), la double extorsion logiciel rançonneur, le détournement de fils de courriels et les attaques ciblant les infrastructures cloud. Cela dit, il y a aussi des signes positifs à l'horizon.

Lire le rapport Frost & Sullivan

Top réseau Questions et tendances en matière de sécurité

Dans le rapport 2021 sur la cybersécurité, le groupe Recherche aux Check Point a présenté les principaux problèmes, menaces et tendances de 2020 en matière de sécurité des réseaux.

#1. Attaques de la chaîne d'approvisionnement

Le 8 décembre 2020, la société de cybersécurité FireEye a révélé qu'elle avait découvert le logiciel malveillant Sunburst sur son réseau. L'enquête sur cette infection a mis au jour une campagne de cyberattaque massive qui a touché 18 000 organisations, 425 entreprises du classement Fortune 500 (dont Microsoft), et a également ciblé des agences gouvernementales.

Le logiciel malveillant SUNBURST a été distribué via des mises à jour compromises du logiciel de gestion de réseau SolarWinds Orion. Les attaquants ont réussi à compromettre SolarWinds en utilisant une nouvelle attaque contre ses comptes Office 365, ce qui leur a permis de falsifier un jeton Azure Active Directory pour un compte privilégié et d'utiliser des informations d'identification d'administrateur compromises pour accéder au serveur de gestion des mises à jour de l'entreprise.

En accédant au serveur de gestion des mises à jour de SolarWinds, les attaquants ont pu modifier les mises à jour en cours de développement afin d'y inclure la porte dérobée logiciel malveillant. Cette attaque de grande envergure en a fait l'attaque de chaîne d'approvisionnement la plus réussie connue à ce jour. Dans le cas de l'attaque de SolarWinds, la surveillance s'est avérée essentielle pour identifier l'attaque et y répondre.

Pour prévenir les attaques futures, il faut mettre en œuvre les meilleures pratiques en matière de sécurité :

  • Least Privilege et la segmentation du réseau : Ces bonnes pratiques permettent de suivre et de contrôler les mouvements au sein du réseau d'une organisation.
  • DevSecOps : l'intégration de la sécurité dans le cycle de développement peut aider à détecter si un logiciel (comme les mises à jour d'Orion) a été modifié de manière malveillante.
  • Prévention automatisée des menaces et chasse aux menaces : Les analystes des centres d'opérations de sécurité (SOC) doivent se défendre de manière proactive contre les attaques dans tous les environnements, y compris le réseau, le poste, le nuage et le mobile.

#2. L'hameçonnage

Si le hameçonnage est le type d'attaque d'ingénierie sociale le plus connu, d'autres techniques peuvent être tout aussi efficaces. Au téléphone, un visiteur peut utiliser des techniques d'ingénierie sociale pour obtenir l'accès à des informations d'identification et à d'autres informations clés, contourner le 2FA ou persuader la victime d'ouvrir un fichier ou d'installer un logiciel malveillant.

L'hameçonnage est une menace croissante pour la cybersécurité des entreprises. En août 2020, la CISA et le FBI ont publié une mise en garde contre les attaques par vishing, et le vishing a été utilisé dans des campagnes de logiciels malveillants et par des groupes APT. Une attaque très médiatisée a permis à un adolescent de prendre le contrôle de plusieurs comptes Twitter de célébrités en 2020. La menace du vishing ne fera que s'aggraver au fur et à mesure que la technologie d'enregistrement de deepfake s'améliorera et sera plus largement disponible.

L'hameçonnage est une attaque de faible technicité, ce qui signifie que la formation des employés est essentielle pour s'en prémunir. Les entreprises peuvent apprendre à leurs employés à ne pas donner d'informations sensibles et à vérifier de manière indépendante l'identité de l'appelant avant d'accéder aux demandes.

#3. logiciel rançonneur

Le logiciel rançonneur a été l'une des cybermenaces les plus coûteuses pour les entreprises en 2020. Il a coûté aux entreprises 20 milliards de dollars en 2020, contre 11,5 milliards de dollars en 2019. Au troisième trimestre 2020, le montant moyen des rançons payées était de 233 817 dollars, soit une augmentation de 30 % par rapport au trimestre précédent.

Au cours de ce trimestre, près de la moitié des incidents liés au logiciel rançonneur comportaient une double menace d'extorsion. Cette innovation a pour but d'augmenter la probabilité que la victime paie la rançon. Pour ce faire, il utilise une nouvelle menace en plus du chiffrement des fichiers, à savoir l'extraction de données sensibles et la menace d'exposition publique ou de vente de ces données. Si les sauvegardes peuvent permettre à une organisation de se remettre d'une attaque de logiciel rançonneur sans avoir à payer, la menace d'une violation d'informations sensibles et personnelles offre un moyen de pression supplémentaire à l'attaquant.

L'augmentation de ces doubles attaques d'extorsion signifie que les organisations doivent adopter une stratégie de prévention des menaces et ne pas se fier uniquement à la détection ou à la remédiation. Une stratégie axée sur la prévention devrait inclure

  • Solutions anti-logiciel rançonneur : Les organisations doivent déployer des solutions de sécurité conçues spécifiquement pour détecter et éradiquer les infections de logiciel rançonneur sur un système.
  • Gestion de la vulnérabilité : L'application de correctifs aux systèmes vulnérables ou l'utilisation de technologies de correctifs virtuels, comme un système de prévention des intrusions (IPS), est nécessaire pour fermer les vecteurs d'infection courants du logiciel rançonneur, comme le protocole de bureau à distance (RDP).
  • Éducation des employés : Sensibiliser les employés aux risques liés à l'ouverture de pièces jointes ou au fait de cliquer sur des liens dans des courriels malveillants.

#4. Détournement de fil

Les attaques par détournement de fil utilisent vos propres courriels contre vous. Après avoir compromis un compte de messagerie interne, un pirate peut répondre à un message électronique par une pièce jointe contenant un logiciel malveillant. Ces attaques profitent du fait que le message électronique semble légitime... parce qu'il l'est.

Le logiciel malveillant bancaire Emotet, l'un des plus grands botnets, est arrivé en tête du classement des logiciels malveillants et a ciblé près de 20 % des organisations mondiales en 2020. Après avoir infecté une victime, il utilise son courrier électronique pour envoyer des fichiers malveillants à de nouvelles victimes. Qbot, un autre logiciel malveillant bancaire, a utilisé des techniques similaires de collecte d'e-mails.

Pour se protéger contre le détournement de fil, il faut former les employés à surveiller les courriels pour détecter les signes d'hameçonnage, même lorsqu'ils proviennent d'une source fiable, et, si un courriel semble suspect, à vérifier l'identité de l'expéditeur en l'appelant. Les organisations devraient également déployer une solution de sécurité des courriels qui utilise l'IA pour détecter le hameçonnage et mettre en quarantaine les courriels contenant des pièces jointes et/ou des liens malveillants.

#5. Vulnérabilité de l'accès à distance

L'essor du travail à distance dans le sillage du COVID-19 a fait de l'accès à distance une cible fréquente des cybercriminels en 2020. Le premier semestre de l'année a vu une augmentation spectaculaire des attaques contre les technologies d'accès à distance, telles que RDP et RVP. Près d'un million d'attaques contre RDP ont été détectées chaque jour.

Au cours du second semestre, les cybercriminels se sont concentrés sur les portails RVP, les passerelles et le site application vulnérables, à mesure que de nouvelles vulnérabilités de ces systèmes étaient connues. Le réseau de capteurs du Check Point a constaté une augmentation des attaques contre huit vulnérabilités connues dans les appareils d'accès à distance, notamment Cisco et Citrix.

Pour gérer les risques liés à la vulnérabilité de l'accès à distance, les entreprises devraient appliquer des correctifs directement sur les systèmes vulnérables ou déployer des technologies de correctifs virtuels telles que l'IPS. Ils devraient également protéger les utilisateurs distants en déployant une protection complète des postes avec des technologies de détection et de réponse (EDR) pour améliorer la remédiation et la chasse aux menaces.

#6. Menaces mobiles

COVID-19 a dominé la sphère des menaces mobiles. L'utilisation d'appareils mobiles a considérablement augmenté en raison du travail à distance, tout comme les applications malveillantes se faisant passer pour des applications liées à des coronavirus.

Les appareils mobiles ont également été la cible de vastes campagnes de logiciels malveillants, notamment des logiciels malveillants bancaires tels que Ghimob, EventBot et ThiefBot aux États-Unis. Les groupes APT ont également ciblé les appareils mobiles, comme la campagne iranienne visant à contourner le 2FA pour espionner les expatriés iraniens. Parmi les vulnérabilités notables sur les appareils mobiles, on peut citer les faiblesses Achilles 400 des puces Qualcomm et la vulnérabilité d'applications telles qu'Instagram, le système d'ouverture de session d'Apple et WhatsApp.

Les entreprises peuvent protéger les appareils mobiles de leurs utilisateurs grâce à une solution de sécurité mobile légère pour les appareils non gérés. Ils devraient également apprendre aux utilisateurs à se protéger en n'installant que des applications provenant des magasins d'applications officiels afin de minimiser les risques.

#7. cloud L'escalade des privilèges

Dans notre récapitulatif des principaux problèmes de sécurité, nous revenons sur les techniques d'attaque de SolarWinds. Contrairement aux attaques précédentes de cloud, qui s'appuyaient sur des configurations erronées laissant les actifs de cloud tels que les buckets S3 exposés (et qui sont toujours préoccupants), l'infrastructure de cloud elle-même est maintenant également attaquée.

Les attaquants de SolarWinds ont ciblé les serveurs Active Directory Federation Services (ADFS), qui étaient également utilisés dans le système d'authentification unique (SSO) de l'organisation pour l'accès aux services cloud tels qu'Office 365. À ce stade, les attaquants ont utilisé une technique appelée Golden SAML pour obtenir la persistance et l'accès complet, difficile à détecter, aux services cloud de la victime.

D'autres attaques contre les systèmes de gestion des identités et des accès (IAM) de cloud ont également été notables. Les rôles IAM peuvent être utilisés de manière abusive à l'aide de 22 API réparties dans 16 services AWS. Ces attaques reposent sur une connaissance approfondie des composants, de l'architecture et de la politique de confiance des fournisseurs IaaS et Modèle SaaS.

Les entreprises ont besoin d'une visibilité globale sur les environnements de cloud public et de déployer des protections unifiées et automatisées. Cela permet aux entreprises de profiter des avantages de cloud tout en garantissant une sécurité continue et une conformité réglementaire.

Les attaques dans le domaine de la santé ont été sans précédent en 2020

Le COVID-19 a fait des organismes de santé une priorité pour tout le monde, y compris pour les cybercriminels. Certaines campagnes logiciel malveillant se sont engagées à abandonner les attaques contre les soins de santé, mais ces promesses n'ont pas été tenues - les hôpitaux sont toujours dans la ligne de mire de Maze et de DopplePaymer logiciel malveillant.

En octobre, la CISA, le FBI et le DHS ont publié une mise en garde contre les attaques visant les soins de santé, mentionnant le logiciel malveillant Trickbot utilisé pour déployer le logiciel rançonneur Ryuk. En outre, des attaques APT parrainées par des pays ont ciblé des institutions impliquées dans le développement du vaccin COVID-19.

Aux États-Unis, c'est le secteur de la santé qui a été le plus ciblé par les cyberattaquants. La recherche aux Check Point a connu une augmentation de 71% de septembre à octobre et une augmentation globale de plus de 45% en novembre et décembre.

Linge d'argent

Tout en comprenant les menaces liées aux problèmes de sécurité des réseaux en 2020, il est également important de noter les nombreuses actions menées avec succès par les forces de l'ordre - avec le soutien de la communauté Cybersécurité - pour traquer et inculper de nombreux individus et groupes de menace impliqués dans la cybercriminalité dans le monde entier.

Voici quelques exemples d'opérations réussies d'application de la cyberpolice en 2020 :

  • En octobre, l'infrastructure Trickbot connectée à plus d'un million d'hôtes infectés a été démantelée.
  • L'UE a dirigé des enquêtes visant à mettre fin aux opérations de DisRupTor, au cours desquelles 179 vendeurs de marchandises illicites ont été arrêtés et les marchandises illicites saisies par les services répressifs.
  • Des mandats ont été émis à l'encontre d'acteurs de la menace du groupe APT en Russie et en Chine.
  • Les efforts menés par Microsoft, comme le démantèlement de TrickBot, ont également permis de démanteler le réseau de zombies Necurs.
  • Le National Cybersécurité Center (NCSC) britannique a supprimé plus de 22 000 URL associés à des fraudes liées au coronavirus.
  • La Cyber Threat Coalition (CTC), alliance mondiale de lutte contre les cybermenaces, s'est unie pour partager les critères de référence COVID-19.
  • Les chercheurs en cybersécurité continuent de trouver et de divulguer de manière responsable les vulnérabilités.
  • Check Point a découvert et divulgué une vulnérabilité RCE dans cloud avec un score de risque CVE de 10.0, ainsi que la vulnérabilité SigRed dans les serveurs DNS Windows.
  • Des chercheurs de l'industrie ont trouvé des bogues dans Pulse Secure RVP et F5 Big-IP.
  • Des bogues ont été découverts dans le logiciel malveillant, ce qui a permis d'éliminer le logiciel malveillant.
  • Un bug de dépassement de mémoire tampon dans Emotet a agi comme un kill switch, permettant le démantèlement pendant 6 mois, suivi d'un démantèlement du botnet Emotet en janvier 2021.

Recommandations pour rester en sécurité

Les cybermenaces et les problèmes de sécurité des réseaux ne se limitent pas à 2020. Bon nombre de ces tendances d'attaque sont en cours et 2021 apportera de nouveaux problèmes de sécurité du réseau et des innovations en matière de cybercriminalité. Pour vous protéger contre l'évolution du paysage des cybermenaces, nous avons formulé les recommandations suivantes :

  • Concentrez-vous sur la prévention en temps réel : La détection et la réponse aux incidents sont importantes, mais la détection d'une attaque une fois qu'elle s'est produite signifie que le mal est peut-être déjà fait. Le fait de privilégier la prévention des menaces par rapport à la détection permet de limiter les dommages et les coûts liés aux cyberattaques.
  • Sécurisez tout : les cybercriminels s'attaquent aux fruits les plus faciles à cueillir, ce qui signifie qu'ils recherchent des cibles faciles. Les organisations doivent sécuriser chaque aspect de leur surface d'attaque, y compris leur réseau, l' infrastructurecloud , les utilisateurs, le poste et les mobiles.
  • Consolidez pour gagner en visibilité : Les solutions de cybersécurité autonomes peuvent être efficaces pour résoudre un problème, mais un désordre de solutions de sécurité déconnectées est accablant pour les équipes de sécurité et entraîne des détections manquées. L'unification de la sécurité rend les équipes plus efficaces et plus à même de détecter et de répondre rapidement aux attaques.
  • Appliquer les paradigmes de la confiance zéro : Des autorisations et des accès excessifs font qu'une erreur ou un compte compromis peut trop facilement se transformer en un incident de sécurité majeur. La mise en œuvre de la confiance zéro permet à une organisation de gérer l'accès aux ressources au cas par cas, minimisant ainsi les risques de cybersécurité.
  • Maintenez à jour les renseignements sur les menaces : Le paysage des cybermenaces est en constante évolution. Les organisations ont besoin d'un accès en temps réel aux renseignements sur les menaces pour se protéger contre les dernières cybermenaces.

Pour en savoir plus sur les principaux problèmes de sécurité des réseaux, consultez le rapport complet sur la cybersécurité en 2021. Vous pouvez également demander un bilan de sécurité afin d'identifier les problèmes qui mettent en péril la sécurité de votre organisation.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK